Czy inspektor ochrony danych może obsługiwać zgłoszenia naruszenia prawa od sygnalistów

Opracowanie: Michał Kowalski

Jednym z elementów procedury zgłoszeń wewnętrznych, którą należy wprowadzić 25 września 2024 r. jest wskazanie osób lub podmiotów odpowiedzialnych za przyjmowanie zgłoszeń naruszenia prawa, a także podejmowanie działań następczych. Przeczytaj także: Ochrona sygnalistów a RODO – 10 obowiązków administratora w zakresie ochrony danych osobowych

Prezes UODO zwrócił tu uwagę na motyw 74 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Wynika z niego, że w celu rozpatrywania zgłoszeń oraz w celu zapewnienia komunikacji z osobą dokonującą zgłoszenia, a także w celu prowadzenia we właściwy sposób działań następczych w związku ze zgłoszeniem, członkowie personelu właściwych organów, którzy są odpowiedzialni za rozpatrywanie zgłoszeń, powinni być specjalnie przeszkoleni, m.in. w zakresie ochrony danych osobowych. Jednocześnie zgodnie z motywem 77 unijnej dyrektywy osoby te mają obowiązek zachowania tajemnicy zawodowej i poufności przy przekazywaniu danych wewnątrz jak i na zewnątrz. Dyrektywa nie odnosi się natomiast do kwestii łączenia obsługi zgłoszeń z innymi zadaniami. Przepisy nie wykluczają więc z góry takiego rozwiązania.

Zgodnie z art. 38 ust. 6 RODO inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający musi jednak zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów. Kwestia ta jest kluczowe w kontekście tytułowego pytania. Jak wskazuje Prezes UODO, powierzenie inspektorowi ochrony danych przyjmowania zgłoszeń i podejmowania działań następczych nie jest wykluczone.

Niemniej jednak rozwiązanie takie wymaga analizy dotyczącej zapewnienia inspektorowi warunków dla zachowania niezależności i prawidłowego wykonywania zadań nałożonych na niego w art. 39 RODO. W analizie uwzględnić Wytyczne Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243). Przeczytaj, jak zarządzać konfliktem interesów IOD.

Innymi słowy, podmiot prawny jako administrator danych osobowych musi zapewnić, by nie doszło w takim przypadku do konfliktu interesów. Prezes UODO wskazał przy tym, że konflikt interesów ma miejsce nie można pogodzić prawidłowego wykonywania zadań IOD z realizacją innych zadań, ponieważ pomiędzy zadaniami występuje sprzeczność, uniemożliwiająca odpowiednią ich realizację.

Konflikt interesów może wystąpić zwłaszcza w przypadku przydzielenia stanowiska, w ramach którego decyduje się o celach i sposobach przetwarzania danych. Ocena ryzyka wystąpienia konfliktu interesów powinna być dokonywana systematycznie. Należy brać w niej pod uwagę następujące kryteria:

• organizacyjne (IOD może podlegać wyłącznie najwyższemu kierownictwu jednostki organizacyjnej);

• merytoryczne (inne obowiązki nie mogą wpływać na niezależność w wykonywaniu zadań IOD);

• czasowe (IOD musi zachować odpowiedzi czas na wykonywanie zadań nałożonych na niego wg RODO).